Pravo na privatnost - novi Zakon o zaštiti podataka o ličnosti
Dragan Milić za Pravo u privredi
Paragraf intervju - SEPTEMBAR 2019
- Novi Zakon o zaštiti podataka o ličnosti (“Sl. glasnik RS”, br. 87/2018 - dalje: Zakon) je usklađen sa Opštom ured-bom o zaštiti podataka o ličnosti (dalje: GDPR), za koju je ostavljeno dve godine do početka primene u maju 2018. godine. U Srbiji je taj rok bio 9 meseci, mislite li da je rokbio primeren da se privredni subjekti pripreme jer Zakon rukovaocima i obrađivačima ne nameće samo obaveze u pogledu informisanja lica na koje se podaci odnose, zaključivanja ugovora između rukovaoca i obrađivača, već i primenu određenih tehničkih mera zaštite podataka?
Vest da je u EU izglasan GDPR-a takođe je odjeknula i kod nas, čak mnogo više nego činjenica da je stupio na snagu novi Zakon koji faktički implementira rešenja iz Uredbe. S tim u vezi, mislim da su sva pravna lica koja odgovorno posluju imala dovoljno vremena da sagledaju šta to nova pravila nose i koje su njihove obaveze po tom pitanju. S druge strane, predsam početak primene Uredbe EU, nije se znalo na koji način će to uticati na Rukovaoce podacima, pa se spekulisalo o mogućim posledicama, strogim sankcijama i tako dalje. Međutim, kada je primena počela, bura se malo stišala jer se ništa značajno nije dogodilo preko noći, pa samim tim i taj pomalo relaksirani odnos se verovatno prelio i na naše firme. Što ne znači da nova pravila treba relativizovati, naprotiv. Treba im pristupiti krajnje ozbiljno. Da se vratim na pitanje. S obzirom na kompleksnost samog akta s jedne strane, i potrebu da isti bude propraćen nizom tumačenja, saveta i propratnih obrazaca od strane kompetentnih institucija a što je izostalo, moje mišljenje je da je 9 meseci bio prekratak rok za prilagođavanje Zakonu. Ako tome dodamo činjenicu da mesecima nismo imali imenovanog Poverenika baš u tom vremenskom periodu, a koji mora biti ključna figura u procesu prilagođavanja, jasno je koliko smo daleko od spremnosti Rukovaoca i obrađivača da primenjuju Zakon, ali i od informisanosti lica čiji se podaci obrađuju i njihovim pravima i obavezama.
- Mislite li da bi sva pravna lica trebalo da donesu Pravilnik o zaštiti podataka o ličnosti?
Od obima obrade podataka, kategorija podataka koji se obrađuju odnosno osetljivosti i podobnosti da njihova obrada ugrozi nečiju privatnost, zavisi i obim obaveza koje Rukovaocima i obrađivačima nameće Zakon. Tako se može zaključiti da nemaju sva pravna lica obavezu donošenja Pravilnika. Međutim da bi adekvatno odgovorili na to pitanje, treba da sagledamo i sam koncept i pristup Zakona. Naime, GDPR odnosno ZZPL retko gde navode taksativne obaveze koje imaju lica koja prikupljaju i obrađuju podatke, već imaju dosta uopšteniji pristup. Tvorac ovih pravila je rekao bih mudro, prebacio svu odgovornost na Rukovaoca odnosno obrađivača, obavezujući ga da sam sagleda i proceni koji je to nivo bezbednosti podataka koji treba da primeni u svom poslovanju. S druge strane, neka lica imaju pogrešnu percepciju o tome šta su sve lični podaci i često i nisu svesna da ih zapravo prikupljaju i vrše obradu. S toga je moja preporuka da bi trebalo preventivno implementirati procedure i pravila u poslovanje i izvršiti mapiranje podataka kroz evidenciju, jer je ključno da se ima uvid u to šta se i na koji način obrađuje od podataka o ličnosti. Takođe, ukoliko dođe do neke povrede odnosno curenja podataka ili pritužbe Povereniku, jako je bitno na koji način je lice koje rukuje podacima ili ih obrađuje iste tretirao, da li je ta pitanja regulisao opštima aktima i procedurama.
- Zakonom je određeno šest osnova za obradu podataka, kada je u pitanju pristanak, na koji način dokazati postojanje pristanka koje je lice dalo na internet sajtu rukovaoca?
To je pitanje i zadatak za IT podršku Rukovaoca i obrađivača. Kada se pribavlja pristanak na ovaj način, vebsajt odnosno platforma mora biti tako programirana da kada davalac pristanka izvrši određenu radnju, zapamti i sačuva taj podatak u programerskom kodu tzv. consent code. To je najuobičajeniji način obezbeđivanja dokaza.
- Da li se pristanak koji je dat za vreme primene prethodnog zakona smatra važećim ili bi trebalo pribaviti novi pristanak?
Sve zavisi od sadržine i forme prethodno pribavljenog pristanka. I prethodni Zakon je imao niz zahteva u pogledu sadržine pristanka, tako da za neke svrhe i načine obrade se može i dalje koristiti. Međutim, takav dokument je ranije često egzistirao kao obaveštenje o obradi, što je dovoljan formalni i sadržinski razlog da se ne može smatrati pristankom u svetlu novog zakona. Tako svakom prethodno pribavljenom pristanku treba pristupiti pojedinačno i proce niti njegovu zakonitost.
- Poslednji osnov za obradu podataka iz člana 12. Zakona je legitimni interes, rukovalac ili obrađivač se za njega lako mogu opredeliti, ali kada je on valjan osnov?
Pitanje legitimnog interesa kao osnova obrade jedno je od najslabijih karika našeg zakona. Legitimni interes detaljnije je objašnjen i preciziran Preambulom GDPR-a, koja nažalost nije ušla u integralni tekst našeg zakona niti ima osnova da se ista primenjuje kod nas. Zbog čega je nastala velika pravna praznina kada je tumačenje ovog bitnog osnova u pitanju. Sve što možemo zaključiti iz slova zakona je da Rukovalac i Obrađivač mogu proceniti kada lice čiji lični podatak obrađuju ima legitimni interes za nešto, ali moraju biti i u mogućnosti da kasnije svoju tvrdnju i dokažu. Najšira primena ove vrste obrade je u tzv. direktnom marketingu. S druge strane čak i GDPR sa svojom preambulom i dalje ne reguliše precizno ovaj osnov naročito u kontekstu marketinga, pa se očekuje od sledeće važne uredbe E-Privacy regulation da obezbedi neke detaljnije smernice i pravila.
- Zaštita podataka o ličnosti je postala prilično popularna tema od donošenja Zakona u novembru 2018. godine, ali se čini da je u prethodnom periodu bilo malo pravnika koji su se njome bavili, mislite li da postoji dovoljno stručnih pojedinaca za obavljanje poslova zaštite podataka o ličnosti?
Ne bih da licitiram o broju kompetentnih pravnika koji su trenutno u mogućnosti da pruže kvalitetno ovu vrstu usluge. Jedno je sigurno, potrebe tržišta će dovesti do toga da će sve više kolega da se profilišu u ovoj grani prava.
- Ukoliko zavisno društvo iz Republike Srbije prenosi podatke o ličnosti svom matičnom društvu u stranoj zemlji, da li između njih treba zaključiti ugovor o obradi podataka (Data Processing Agreement)?
Ako društvo koje je primalac informacija nije obrađivač u smislu zakona, onda nema potrebe zaključivati ugovor o obradi. Bitno je samo taj transfer uraditi u skladu sa propisima i jasno mapirati podatke i voditi evidenciju o tome gde se podaci nalaze. Takođe, opštim aktima unutar grupacije bi trebalo detaljno regulisati protok i tretman ovako prikupljenih i skladištenih podataka, što je svakako jedan vid regulacije.
- Zakon određuje novinarski izuzetak, kako pomiriti slobodu informisanja i pravo na zaštitu podataka?
“Konflikt” privatnosti s jedne i slobode informisanja i pravu na informisanost s druge strane, traje jako dugo. Mnogo duže nego aktuelnost današnjeg konteksta zaštite podataka o ličnosti. Ta linija se nikada ne može precizno povući i zavisi od niza konkretnih okolnosti. Najpre od važnosti dobra koje se čuva i podobnosti da izloženost jednog takvog podatka ugrozi nečije vitalne interese, ali i od prava i interesa javnosti da ima pristup određenom podatku. To pitanje će biti uvek aktuelno.
- GDPR uređuje i pitanje video nadzora što nije slučaj sa Zakonom, da li je postavljanje video nadzora u svrhu zaštite imovine pravnog lica u skladu sa Zakonom?
I GDPR i ZZPL su opšti akti koji se ne bave konkretnim načinima obrade. Tačno je da video nadzor nije regulisan, i da je to neophodno da bi se popunila ta pravna praznina i samim tim pravna nesigurnost. Međutim, oba propisa daju dovoljno opštih pravila čijom primenom možemo izvući neke okvire. Ako tome dodamo i preporuke i mišljenja Poverenika o pitanju video nadzora, možemo lako naći čvrsto tlo za zakonito sprovođenje i ove vrste obrade. Svakako, zaštita imovine kao svrha uvođenja video nadzora ne bi smela da bude sporna. Međutim, kontrola zaposlenih i njihovo nadgledanje kao svrha sama po sebi je veoma upitna i ne bi smela da egzistira kao primaran i osnovni razlog obrade.
- Koliko u Vašem svakodnevnom radu koristite elektronske baze propisa?
Veoma često. Nekada i čisto informativno, a ne samo kada mi zatreba rešenje za konkretno pravno pitanje.
- Koja je Vaša poruka pravnicima koji se bave pitanjima zaštite podataka o ličnosti?
Zaštita podataka o ličnosti je jedan segment prava na privatnost koje poprima sve veći značaj u eri novih tehnologija i interneta kada se broj načina na koji privatnost fizičkih lica može biti povređena neizmerno povećao. Iako ova pravna oblast podrazumeva specijalizaciju da bi bili u mogućnosti da adekvatno pruže pravnu pomoć u cilju zaštite privatnosti, kolege moraju i da se oslanjaju i na druge pravne grane, da budu informisani o strukturi interneta, modernim komunikacijama, mestima gde se danas povrede najčešće dešavaju.